Konzept zur Umsetzung der EU-Datenschutz-Grundverordnung

Datenschutzansatz "Privacy by Design"

21.10.2015 von Rüdiger Giebichenstein

Eine Möglichkeit die technischen Anforderungen der kommenden EU-Datenschutz-Grundverordnung zu erfüllen ist die Implementierung des Konzepts „Privacy by Design“.

Das Thema Datenschutz und Informationssicherheit ist nicht zuletzt durch die zahlreichen Medienberichte von Datenschutzvorfällen und Cyber-Attacken auf der Agenda der Unternehmensführungen hoch priorisiert. Anfang 2015 hat im Kontext von Schutz und Sicherheit von Daten und Informationen die Europäische Agentur für Netz- und Informationssicherheit (ENISA) ihren Bericht mit Empfehlungen für die Umsetzung der kommenden EU-Datenschutz-Grundverordnung vorgelegt, wie unter anderem Unternehmen ihre Schutzmaßnahmen verbessern können.

Privacy by Design verfolgt einen auch aus anderen Standards und rechtlich-regulatorischen Regelwerken bekannten ganzheitlichen Ansatz des risikoorientierten Wirkzusammenhangs.
Foto: Marco2811 - Fotolia.com

Gemäß Artikel 23 sollen angemessene technische und organisatorische Maßnahmen, datenschutzfördernde Technologien und datenschutzfreundliche Voreinstellungen in Zukunft von Anfang an integraler Bestandteil im Designprozess zur Entwicklung datenschutzfreundlicher Systeme und Dienstleistungen zur Verarbeitung personenbezogener Daten werden. Im Bericht "Privacy and Data Protection by Design - from policy to engineering" stellt die ENISA grundsätzlich dar, was als Stand der Technik gelten sollte, und erläutert, dass datenschutz- und sicherheitsunterstützende Vorgehensweisen und Techniken in der Entwicklung von der Praxis bislang vernachlässigt wurden.

Die ENISA hat auf Basis ihrer Analyse unterstützende Handlungsbedarfe und Hinweise herausgearbeitet, die helfen sollen, künftig besser mit den aus Sicht der ENISA vorliegenden Herausforderungen bei der Umsetzung von Datenschutz- und Sicherheitstechniken umgehen zu können. Hierzu zählen zumBeispiel:

Die Durchführung von Audits und Förderung der Einführung von Gütesiegeln durch politische Entscheidungsträger in Form von Anreizprogrammen.
Good beziehungsweise best practices für Unternehmen könnten in öffentlich geförderten Projekten in Form von konkreten Leitfäden mit Fall- und Umsetzungsbeispielen entwickelt und bereitgestellt werden.
Die europäischen Datenschutzbehörden könnten, wie der Parlamentsentwurf der Grundverordnung es vorsieht, anhand dessen auch den notwendigen Konsens bezüglich konkreter Anforderungen und good practices finden.
Implementierte Schutzmechanismen sollten sich dabei strafmildernd auswirken.
Weiterhin wurde bemängelt, dass viele technische Neuerungen zur Umsetzung von Datenschutztechniken zum Beispiel aus Forschungsergebnissen nicht den Weg in markttaugliche Werkzeuge finden oder gegenüber potenziellen Interessenten nicht ausreichend publiziert oder kommuniziert werden.
Auch die Standardisierungsgremien wie der ISO oder DIN sollten Datenschutz- und Sicherheitsaspekte künftig stärker berücksichtigen.

Was Unternehmen zur EU-Datenschutzreform beachten müssen

Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps.

Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden.

"Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können.

Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor.

Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können.

Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.

Geschichte des "Privacy by Design & Privacy by Default"

Die Idee des "Privacy by Design & Privacy by Default" (kurz PbD) existiert bereits seit den 1990er Jahren und wurde unter anderem von dem ehemaligen niederländischen Datenschutzbeauftragten John Borking entwickelt. Gegenständlich wurden diese Überlegungen durch die "sieben Prinzipien des PbD" der ehemaligen kanadischen Datenschutzbeauftragten Ann Cavoukian.

Was ist die Idee von PbD?

Privacy by Design verfolgt einen durchaus auch aus anderen Standards und rechtlich-regulatorischen Regelwerken (z. B. IDW PS 330, COBIT, ISO 27001) bekannten ganzheitlichen Ansatz des risikoorientierten Wirkzusammenhangs in Form eines Schichtenmodells aus:

Geschäftsprozessen,
unterstützenden IT-Systemen und Anwendungen sowie
physischem und technischem Design und vernetzten Infrastrukturen.

Die Grundsätze des Privacy by Design sind dabei auf alle Arten personenbezogener Informationen anwendbar. Die Umsetzungsgüte und -tiefe sowie Wirksamkeit der erforderlichen datenschutzrechtlichen Maßnahmen muss dabei dem Risikogedanken folgend der Sensibilität beziehungsweise dem Schutzbedarf der Daten über das gesamte Schichtenmodell hinweg gerecht werden.

Ziele und die sieben "Prinzipien" des PbD

Die PbD Ziele - laut Cavoukian die Gewährleistung des Datenschutzes -, die persönliche Kontrolle über die eigenen Daten sowie die Gewinnung eines nachhaltigen Wettbewerbsvorteils für Organisationen, können durch die Anwendung von 7 Grundprinzipien erreicht werden:

Prävention statt nachgelagerte Abhilfe
Datenschutz per "Default"
Einbettung von Datenschutz und -sicherheit im Design
Volle Funktionalität - eine Positivsumme, keine Nullsumme
Schutz über den gesamten Lebenszyklus
Sichtbarkeit und Transparenz
Respektieren der Privatsphäre der Benutzer

Das Europäische Parlament griff das Konzept des PbD 2007 erstmalig auf, mit dem Ergebnis, dass die EU-Kommission es 2012 in ihren Entwurf für die Datenschutz-Grundverordnung eingebracht hat. Bereits im aktuellen Bundesdatenschutzgesetz (BDSG) sind Anforderungen an die Datensicherheit verankert (vgl. TOMs - technisch organisatorische Maßnahmen als Anlage zu § 9) und damit rechtsverbindlich umzusetzen. Die Gebote der Datensicherheit in der Anlage zu § 9 BDSG formulieren streng genommen "nur" Anforderungen an die Datensicherheit, jedoch keine Prinzipien für PbD.

Mobile Security – die größten Defizite der Unternehmen

Mit Datenschutz und Datensicherheit kennen sich die Befragten laut eigenen Angaben aus. Doch es fehlt an spezifischen Kenntnissen zu mobilen Apps.

Funktionalität ist das entscheidende Auswahlkriterium bei der App-Auswahl.

Mehr als die Hälfte der befragten Unternehmen weist kein explizites Budget für IT-Security aus.

In den Sicherheitskonzepten der Unternehmen spielen mobile Aspekte häufig keine Rolle.

Fazit

Die kommende Datenschutz-Grundverordnung der EU verlangt "Datenschutz durch Technik". Datenschutz muss also künftig schon beim Design eines Systems berücksichtigt werden. Die neue Technik soll nicht nur mehr Sicherheit, sondern auch mehr Privatsphäre bringen.

Die betroffenen Unternehmen sind gut beraten, sich bereits jetzt mit den künftigen Datenschutz- und Sicherheitsanforderungen intensiv auseinanderzusetzen, insbesondere vor dem Hintergrund möglicher Sanktionsmaßnahmen. Hierbei empfiehlt es sich, die vielfältigen Möglichkeiten ganzheitlicher Ansätze zum Management von Datenschutz und Informationssicherheit, wie zum Beispiel ISO 27001, zu berücksichtigen, um einen strukturierten und nachhaltigen Ansatz zu etablieren. (bw)